Южная Америка

Хакеры в сердце темной паутины: волна атак на государственные органы и частные компании

Новости Уругвая
Хакеры в сердце темной паутины: волна атак на государственные органы и частные компании
Вход в глубины Интернета - сайты, сети и форумы, изобилующие дезинформацией, заговорами и всем остальным, что не хочет быть отслеженным, - не является чем-то необычным, по крайней мере, поначалу. Браузер - в данном случае Tor, один из самых распространенных в мире, но это может быть и другой - на первый взгляд не слишком отличается от общепринятых, таких как Google Chrome, Safari или Mozilla. Но здесь все работает немного медленнее, как в раннем Интернете девяностых годов. Мы набрали название Breachforums, одного из сайтов, на котором уже несколько дней циркулируют уругвайские базы данных, украденные у различных организаций и компаний, а также многочисленные посты, хвастающиеся целым рядом нарушений местных компьютерных систем, и доставляющие некоторую головную боль правительственным органам, многие из которых недавно заняли свои посты. -Вы поставлены в очередь», - предупреждает экран, который менее чем через две минуты открывает доступ к форуму глубинника. То, что мы видим здесь, в отличие от традиционного Интернета - того, что лежит на поверхности, - должным образом анонимизировано и разделено, по крайней мере настолько, что пользователи вряд ли смогут отследить его, сканируя вкладки сайтов и форумов, подобных этому, где запись с данными о торговом центре в уругвайской глубинке - Uruguay: Las Piedras Shopping (database) (source code), судя по названию, - сосуществует с сообщениями об ИГИЛ или базами данных об американских криптовалютах. В меню представлены базы данных, «скрытые сервисы», поисковая система и раздел, где можно совершать сделки с экспертом в качестве гаранта. Также, как и на любом форуме, есть раздел для знакомств. В самых последних из них некто по имени Snowless утверждает, что он инженер-программист и что он или она здесь, чтобы узнать о нарушениях и о том, затрагивают ли они его или ее непосредственно. В разделе «Скрытые услуги» есть разделы игр, баз данных и объявлений о взломе. Записи об Уругвае появляются часто. Это «живые» дискуссии, которые поддерживают взаимодействие. Это происходило одно за другим: за последние несколько недель несколько уругвайских государственных сайтов были взломаны хакерами. 17 марта хакеры взломали сайт Национального управления гражданской авиации и аэронавигационной инфраструктуры (Dinacia) и разместили на первой странице две фотографии: на одной - новый президент республики Яманду Орси, на другой - Маурисио Папалео, директор по информационной безопасности Агентства электронного правительства и общества информации и знаний (Agesic), агентства, отвечающего, в частности, за цифровую безопасность государства. Фотографии сопровождались политическим посланием: «Уругваю становится все хуже и хуже, растет политическая коррупция, мафия, бедность, а единственное, что видит народ в ответ на действия государства, - это политические программы, продиктованные повесткой 2030 и ВЭФ. Мы устали от прогрессизма, лжи политиков и, прежде всего, от того, что имидж Уругвая падает. Уругваю нужны лидеры, а не марионетки». Два дня спустя, 19 марта, был взломан сайт компании Buquebus. И снова Орси стал объектом критики и угроз. 20 марта настала очередь Министерства социального развития (Mides): киберпреступники выложили в общий доступ 264 внутренних документа и сотни удостоверений личности. Через несколько дней стало известно об утечке 15 000 заявлений на получение визы, предположительно полученных из базы данных Управления по делам миграции. Частные данные и фотографии собраний уругвайских масонов были загружены на сайт Eficiencia Energética («Энергоэффективность»), агентства при Министерстве промышленности. Также поступили сообщения об атаке на Генеральную прокуратуру, в ходе которой произошла утечка внутренних документов, а 30 марта несколько правительственных сайтов в домене gub.uy подверглись массовому сбою. А в апреле, всего несколько дней назад, очередная атака распространила личную информацию более 500 профессоров Университета Республики. Различные злоумышленники под псевдонимами LaPampaLeaks, BogotaLeaks, Uruguayo1337, Expresidents и Gov.eth взяли на себя ответственность за взломы на BreachForums. В сообщениях дается описание событий, рассказывается, как они это сделали с технической точки зрения, и прилагаются доказательства - скриншоты, фотографии, базы данных, - которые им удалось извлечь из взломанного сайта. Некоторые из них, по словам злоумышленников, являются лишь образцом всех данных, которыми им удалось завладеть. В пятницу, 28 марта, был арестован молодой человек, причастный к некоторым взломам правительственных и частных сайтов. 18-летнему юноше, выступавшему под псевдонимом Requerido1337, были предъявлены обвинения в пяти преступлениях: взлом данных при отягчающих обстоятельствах, незаконный доступ к компьютерным данным и три преступления, связанные с незаконным перехватом. В качестве меры пресечения он будет заключен под стражу на шесть месяцев. В нескольких сообщениях, опубликованных PampaLeaks на BreachForums, утверждается, что молодой человек невиновен. «Они арестовали 18-летнего школьника и обвинили его во всем, хотя мы не знаем, кто он такой, и он никогда не был частью нашей команды», - написали они в одном из постов. Однако власти убеждены, что у них есть убедительные доказательства причастности молодого человека. По словам источников в деле, обвиняемый загрузил в группу Telegram - профиль, связанный с его номером телефона, - видео со скриншотом того, как разворачивались нападения. Хотя защита обвиняемого утверждала, что он записал скриншот того, как это сделал кто-то другой, следователи отмечают, что есть доказательства его ответственности как исполнителя, и именно поэтому суд заключил его под стражу. После предъявления обвинения нападки перешли в плоскость утверждений о его невиновности. Даже сайт газеты El País был взломан рано утром в субботу, когда писался этот репортаж. Атака длилась всего пару часов, затронув первую страницу сайта и несколько сюжетов телешоу, но не нарушив базу данных пользователей. В течение этих часов можно было видеть апокрифическую и манипулированную главную страницу, на которой размещалась платформа, оправдывающая преступников и призывающая освободить «Влади», 18-летнего подростка, который был отправлен в тюрьму. Мауро Элдрич входит в состав Birmingham Cyber Arms LTD, компании, которая занимается разведкой угроз и мониторингом темной паутины. По его мнению, последние атаки характеризуются низкой или средней технической сложностью, но стремлением оказать широкое воздействие. -Чем больше шума вы слышите, тем больше вы должны помнить о том, что обычно имеете дело с человеком, не обладающим большим техническим опытом». Аргумент прост: по мнению Элдрича, сложная организация, взламывающая ценную систему, сделает все возможное, чтобы провести атаку, не привлекая к себе внимания, а затем попросит хорошее вознаграждение. «Часто дело не столько в профессиональных знаниях злоумышленника, то есть это не высокоразвитые злоумышленники, у них нет собственной инфраструктуры, нет собственного вредоносного ПО, но они используют атаки, которые являются базовыми, но они используют их для распространения политического послания», - говорит он для этого отчета. Между тем те, кто утверждает, что ответственен за некоторые из этих атак, пишут на форуме: «Мы делали это ради удовольствия и без финансовой выгоды». Другие эксперты находят в последовательных нарушениях эффект троллинга, который заключается в размещении провокационных или оскорбительных сообщений с целью вызвать раздражение или бойкот. «Есть полушутливый, полусерьезный компонент. Но кроме этого, это все равно что сказать: «О, смотрите, мы вас взломали». Троллинг - это идеология, это веселье, это стремление что-то сделать», - говорит Пабло Брум, специалист по кибербезопасности, возглавляющий компанию Polo Cyber. Тот факт, что нападающие не слишком профессиональны, не делает их менее серьезными, говорит Элдрич, и сравнивает это с преступником, который врывается в дом, но просто рыщет там и ничего не берет. «Если у вас есть зарождающийся злоумышленник, который не является экспертом и наносит такой ущерб и вызывает такие последствия в обществе, которые попадают на первые полосы газет, занимают место в СМИ, в радиоэфире, на телевидении в прайм-тайм, то это именно потому, что что-то не так», - говорит он. Но не все нападения были одинаковы по своему масштабу и серьезности. Некоторые, как объясняют эксперты, в основном основывались на предыдущих утечках или переработке других взломанных баз данных. Брум отмечает, что это может происходить по двум причинам: при использовании плохих, то есть малозащищенных учетных данных, которые злоумышленники могут пробовать до тех пор, пока не найдут тот, который откроет доступ, или потому, что они получили в свое распоряжение базу данных настоящих, утекших паролей. Элдрич использует концепцию scavenging, говоря о тех пользовательских учетных данных, которые уже циркулируют в природе. Не то чтобы они что-то взломали, они ничего не использовали, но они попадают в систему с помощью ключа, который кто-то потерял на улице». Но были и сообщения о более сложных взломах. Одна из атак, по версии хакеров, контролировала по крайней мере часть системы создания официальных доменов уругвайского правительства. «Мы получили доступ к государственному реестру доменов, предоставленному Agesic. Мы зарегистрировали такие домены, как agesic-domados.gub.uy, опубликовали сообщения и даже обратились к сообществу BreachForums», - написали они в том же сообщении, в котором объявили о взломе Dinacia. Эксперты сходятся во мнении, что, если это правда, стоимость такой атаки может быть «очень серьезной», поскольку могут быть созданы новые официальные домены с вредоносным содержимым. «Они создали домен, а оттуда перенаправили весь трафик на этот сайт. Вы получаете дешево, потому что находитесь в руках более неопытных людей. Но они могли бы создать сайты типа nuevapresidencia.gub.uy или becas.gub.uy, чтобы сказать что-нибудь», - объясняет Элдрич. Власти, однако, утверждают, что нарушение - хотя и серьезное - было меньше, чем было объявлено вначале. Сегодня пятница, и повестка дня Дэниела Мордецки, нового исполнительного директора Agesic, полна. Первым делом он шутит о том, что не ожидал, что его роль так быстро потребует присутствия в СМИ, но именно этого и хотели хакеры или киберпреступники, которые уже несколько недель пестрят заголовками. -Нужно понимать, что в подобных случаях, когда речь идет об атаке на репутацию, в том, что утверждают злоумышленники, есть доля правды, серая зона или преувеличение, а также ложь. Это похоже на магическое действо: они хотят, чтобы вы поверили, что произошло нечто, чего не было, или что гораздо важнее того, что произошло, даже если за этим что-то стояло. Здесь кроется один из парадоксов всего этого дела. Власти во многих случаях подчеркивают, что все произошло не совсем так, как утверждают исполнители терактов, но при этом, разумеется, избегают раскрывать подробности, которые позволили бы нам отделить правду от лжи. На это решение влияют соображения безопасности - предоставление информации также дает злоумышленникам больше инструментов, - а также стратегические аспекты того, как бороться с этими новыми преступными группами. Но правда заключается в том, что, когда к правительству обращаются различные организации, оно предпочитает говорить об этом «в общих чертах», а не «в каждом конкретном случае». Мордецки согласен с мнением, что последняя серия атак имеет «новый» профиль, с более «политическим» подтекстом, даже если их техническая экспертиза не самая изощренная. О злоумышленниках новый директор Agesic говорит две вещи: преступность и безопасность носят трансграничный характер, а их розыск - непростая задача, поскольку они стараются не оставлять следов. Мордецки также уверяет, что за этими атаками стоит не экономический мотив, а намерение нанести репутационный ущерб, «испортить имидж правительства и его руководства». «Я не говорю, что это все ложь, что это все фарс..... Я говорю вам: настоящая проблема в том, что произошел инцидент с безопасностью, они получили брешь и смогли проникнуть внутрь», - настаивает иерарх. Он не одинок в этом мнении. Другие чиновники, с которыми мы консультировались для этого отчета на условиях анонимности, также говорят, что есть аспекты демонстрации хакеров, которые оставляют открытым вопрос о том, что именно произошло. Но как бы там ни было, общее мнение таково, что никто не забывает о возможности новой атаки. С точки зрения серьезности произошедшего... на репутационном уровне это серьезно, другими словами, то, что происходит, шокирует общество, а это уже важно», - говорит директор Agesic. В его офисе, расположенном в самом сердце Executive Tower, на картине написан ряд заповедей. Одна из них несколько раз проскальзывает во время интервью: «В первый раз виноваты они, во второй - я». Задача, по словам Мордецки, состоит в том, чтобы принять правильные меры, чтобы нападения не повторялись.